[Vtub] VSPO對個資流出事件的報告
https://vspo.jp/news/news20240625-2/
https://i.imgur.com/2nqNoTe.jpeg
chatgpt翻譯
根據最近(2024/6/25 22:00)由「ぶいすぽっ!」官方帳號公佈的消息更新,我們在此通知目前的情況。我們深刻道歉,對於受影響者、相關方面以及一直支持「ぶいすぽっ!」的粉絲們帶來的擔憂。
根據我們的調查,我們發現在我們集團使用的Google雲端服務「Google Drive」上,關於「ぶいすぽっ!JP オーディション」的申請者Google表單的回答內容,已經可以被第三方通過該表單的「編輯用URL」進行查看,這一情況於2024/6/25 17:15確認。
然而,需要指出的是,這些編輯用URL並非在官方的面向公眾的オーディション網站上公開。我們認為這些URL可能是以某種方式外洩的。我們目前正在進行訪問歷史記錄的調查,同時也無法排除其他集團內的其他信息在同一途徑泄露的可能性。由於存在有意的泄露或非法訪問的可能性,我們將持續謹慎進行調查。
我們深知應該儘快向受影響者道歉並聯絡的重要性,但由於上述情況,請您稍等片刻。
此外,由於這起事件的調查,我們認為在集團內的其他公司也可能發生類似的信息外洩,我們將同步進行謹慎調查。更多詳情請參考以下連結:
https://www.bravegroup.co.jp/news/6359/
我們將盡快採取必要措施應對此事。有關通知和聯絡方式,我們將統一由我們的母公司株式会社Brave group進行通知和聯絡。
希望您能理解,並感謝您的耐心等待。
----------------------------------------------
bg那篇公告看來洩漏的不只VSPO這邊,其他bg子公司加起來共超過1萬多筆資料洩漏(VSPO就7000)
而且洩漏期間大概都是2024/6/4晚上到2024/6/25 17:50這段時間
洩漏範圍包括:
・氏名
・お住いの都道府県(ただし、誤って住所まで入力されていた方については住所)
・電話番号
・生年月日
・使用SNS
・志望動機など
基本上能找到人的個資都公開了
例外有提到6月18日11:23和2024年6月25日16:28,在VSPO推特都有人私訊提醒,但bg說他們等到今天爆料後才確認到真的有這兩個私訊提醒存在。
bg這個太雷了吧
--
這是有內鬼的意思?
我覺得比較像拖字訣,然後把母公司BG拉出來處理
怎麼看起來像BG裡面有人外洩表單= =
內部機密居然沒開特定使用者才能瀏覽的權限..
一旦跟西岸扯上關係就沒有能全身而退的
但是基本上啥都沒講 重點就URL流出導致能查看
所以看起來不是單純的自爆耶
這隨便一個人把連結丟出去就炸了 外洩者甚至不用留下
閱覽紀錄
沒擋權限直接開連結就是偷懶啊
有內鬼 關門 放狗
感覺就內部人員有出問題 不然表單好好的沒事也不會改權
限
是個員工都能看的意思 所以抓不出來是誰洩漏
團滅
就那種連結給了就會看到,沒給連結就不知道
柯南bgm
大概沒有給員工google企業版帳號 所以文件也沒辦法預設成
這資安思維很失敗 後續很艱辛了
本企業的帳號才能觀看?
我怎記得之前也有類似的事件
公告發了 但像是沒發
未來幾年內各大企業勢的新人 可能會在活動過程中飽受這
份表單帶來的困擾 真是苦了這些從業者與受害者
問就是內鬼在搞
這狀況很多..aws s3之前也預設全公開 爬蟲有機會爬到
有問題吧 正常要限定使用者==
我也記得這種東西你企業版本是預設關閉的吧?
有可能google doc預設有編輯用url 但沒預設非公開
Google表單更改閱覽權限不是會通知所有共用者嗎
所以他不是按白名單 直接按有網址者可查看?
這根本大家直接隨便看 根本不用流出
或著有資安小白以為沒人知道url就不會被hack就隨便設定
你非公開還是外流阿,url跑出去了
流出(X)直接開放(O)
照他寫法看起來是只要知道url的就能看
就跟你youtube影片設定非公開一樣,只要有網址就能看
就跟之前YT有些影片要點連結才看得到,你查詢查不到
這下精彩了 BG這下光這案子要解決都不知要花費少資源
只是影片本身不會被放在推送頁面
恩 然後不知道誰直接把這網只給出去了
沒擋權限就會被爬蟲爬到 但資安小白可能就不知道
這就是便宜行事的下場,不管流出的是不是故意,傷害
都造成了
他意思就是權限設成有URL就能看 然後URL不知道被誰外
流 超白癡
九日那個是不是也是這樣
應該補一個BG 那個連結,是說可能不只vspo 同一天底
下有其他也發現被編輯可能有外洩的可能性
有稍微說明了
這種就企業負責資料的使用者習慣會決定資料安全程度
日本資安 瓦拉瓦拉
如果krkr講一週前有通知是真的 那Vspo這週都沒查嗎
會用google表單徵才的公司= =
一家公司把徵才資訊放到骨狗文件 恩...我以為是團購捏
google表單權限 只有作者和給協作者權限或全公開 沒有所
謂給連結才能看 表單給連結能看就是設定成全公開
他把整個BG都拖下來 意思該不會是全公司都這樣處理吧
事實上看來是bg不只VSPO有這個狀況
九日那個應該是駭客,這個字裡行間感覺在暗示內鬼
可能kr有講,但他們看一看覺得沒問題
超級白癡
全部怪罪日企文化也不夠全面吧 尤其該行業首當重視資安意
識
是 我說白名單就是給協作者權限
放google文件還好 但企業版可以限定只有同公司能看吧
你知道網址就有 那就是全公開
全公司都這樣處理也太鬼故事了吧==
就算給連結也沒差
用google不是問題 資安太爛還是把頂級金鑰外流
省錢用免費版還給連結就無解了
你在協作權限狀態點進去 會有申請帳號送出通知
然後作者會接收到 過了才點德進去
BG底下的都出事耶,還有說到確認6/18就有人來信反應
BG整個都有這個狀況 這樣是BG的人把URL外洩了吧
除非是有內鬼去改成全公開+流出網址
這種分享對管理人很偷懶 不用在那邊被通知要追加名單
資 安 鬼 故 事 人家說要變第三大箱的事務所
不然子公司的人 能去動到母公司其他旗下公司的權限?
這種東西處理的向是高中期中團體報告分享
6/18那個不會就是kr吧,剛好一週前,笑死
不然單純流出RUL這件事是永遠存在的風險,就算是無意
這邊擺明是BG問題 只是VSPO個資最多才一堆人集火打
才一萬多 小事情啦
本來就該用權限來防止風險
很像某國人喜歡玩的盒攻擊
看起來就是回報給母公司等處理 不過連個別限定使用者
都沒也太天兵…
看了一下,齁也是用google表單報名的,所以用google不是
甚麼大問題
要嘛懶,要嘛負責的人完全沒概念
DM了一周沒發現 等KRKR爆出來才知道 笑死
用估狗從來不是問題 是你設定權限的概念
他這不就是爆料出來了才知道出問題了
雖然文內沒指名不過有說今天PO文的一位是在之前有反應
本來就不是用google的問題啊...
一定有人拿有權限的帳號 偷偷亂搞才會這樣 不然表單製作
好 沒事也不會去設定全公開的權限
brave groups承認一周前的確有收到推特簡訊通報,說因
為這個通報方式在他們處理上造成了延誤
三小 還能推給通報的喔
照公告的寫法,其中6/25通報的人應該是krkr
你們怎麼不用OOO來通報 害我們處理慢了^^
是說如果他們以前都這樣處理 現在才出事也很神奇
業務擴充,人力沒跟上就容易出這種包吧
出包的是BG集團,VSPO只是用同一個系統
BG官網公布的那一篇比較詳細
推特延誤其實偏容易,但要看他們推特是不是每天上百訊息
加起來上萬件洩露
推特沒有追隨 可能會被設置在垃圾訊息區內
看起就是負責關的以為沒什麼關了就close掉對應 要慘了
推特18日有接收到 說沒及時反應 就當垃圾流言了吧
不過限定url外流的話的確有可能是內鬼,但不限定人員
就是天兵了
因為BG非上市,不知道正社員多少
但是BG這兩年招的新人,比虹更多…
因為BG這兩年吸引及開了很多新團
熟悉的BG回來了
一周前6/18有人私訊提醒 今天才確認到私訊存在 嗯...
這鍋可大條了,掉的可是人資
集團擴充太快,但管理體制沒跟上吧,還是用小公司的做事
方式,都是方便就好
這種包我只能說 夕鶴
有內鬼外流URL 再亂傳啊
超雷,聽說這是第3大箱?
就算不是內鬼還是有可能外流阿,誰知道哪個員工會
腦抽把連結貼錯地方
一開始就不應該把連結開出來吼
也不說外流 你一開始就白名單模式就沒這問題啊
我覺得這也不是單純白名單問題了 這內部管理都有問題
只用連結就算只給員工看也很雷
有連結就能上就等於公開了啊
幹這蠢到連當鬼故事都沒資格
所以一星期前就有通知警告是真的嗎
公司說有人用推特訊息告訴他們,但沒被處理
我在想如果用一些比較特殊的搜尋引擎
是不是透過內文關鍵字就可以搜到
這種只要連結就能看的表單?
內部管控問題 連結換成是檔案也還是會外流
不可能搜到 谷歌也是每個網站都有先碰過才能建立起ind
ex 要能搜到的話要嘛爬蟲到要嘛外洩擴散了
出這包有點誇了吧==
表單是被改成全公開 這邏輯上一定是內部的問題
感覺有內鬼
資安鬼故事
能生連結不代表公開,但問題是權限設定太隨便。
例如這種檔案應該只能有少許的人看得到,甚至需要個別給權
限,假設給 HR 好了,其他理論上要鎖到拿到連結也看不了。
懶一點的就直接設定給組織內成員,然後就會被其他部門看到
chatgpt真的滿滿支語,以後學生記者網紅都用ai寫文
章支語警察要加班加到死了==
爆
[Vtub] VSPO,大事不妙A38
[閒聊] ニコニコ確認遭受大規模網路攻擊服務停擺凌晨發現出現異狀,開始搶修至今仍未修好 ドワンゴは同日19時ごろ、「大規模なサイバー攻撃を受けており、影響を最小限に留め るため、サービスを一時的に停止しています」と説明しています。調査と対策を進めて いるものの、サイバー攻撃の影響を完全に排除できたと確信し、安全が確認されるまで21
Re: [Vtub] VSPO,大事不妙真的大事不妙了 首先這7000人基本上都應該是女的(撇除一些藥娘 這事情也不是KRKR發現的,是一周前有人跟他爆料他才知道的 那也沒人知道這表單到底公開多久了 有心人大概早就已經把整個表單抓下來了吧11
Re: [新聞] 內政部承認2300萬筆戶政資料外洩! 他轟有關媒體報導「內政部已承認外洩資料就是2,300萬筆戶政資料,內政部不願公布調查結 果」,對此,內政部嚴正澄清,媒體報導事項並非事實,戶政資料並無手機號碼,另經會 同數位發展部比對相關資料內容,內容格式明顯有甚大差異,檢查近年資安監控資料未有 異常紀錄,戶役政系統及政府骨幹網路並無遭駭客入侵洩漏。至於是否經由其他管道洩漏9
Re: [新聞] VSPO將招募海外EN、CN成員!卻連中國大陸亂講 什摸水餃公司 vspo是最純的聯絡簿公司好嗎 最近出道的只有紫母V打槍拉米不是認識的 就算底邊也都能穩一千人- 警告,不要去這個lending tree 垃圾網站填寫任何資料! 本來當時看到版上討論去填寫一些資料好確定要得到QUOTE要填什麼 結果今天美國的舊址就收到詐騙信! GOOGLE連絡電話滿滿的詐騙報導
爆
[情報] 星街 日本武道館 Live開催決定爆
[Vtub] 星街すいせい武道館開催決定96
Re: [閒聊] 知名實況主 Asmongold 因歧視炎上中92
[慶生] 今天是高捷少女司機員 艾米莉亞的生日!爆
[推投] 偶像大師本家765 最喜歡女角「2票」72
[閒聊] 我想成為影之強者 動畫瘋破千萬觀看50
[情報] 我推完結後赤坂萬字訪談懶人包67
Re: [閒聊] FF16,pc版本只賣出28.9萬份66
Re: [閒聊] 知名實況主 Asmongold 因歧視炎上中52
Re: [Vtub] 星街すいせい武道館開催決定44
[閒聊] 烙印最後用握手和好結局可嗎?42
[閒聊] 作了AI圖靈測試 來玩看看分不分的出吧83
[問題] 二手書店的漫畫能收嗎?爆
[閒聊] FF16,pc版本只賣出28.9萬份35
[閒聊] 是誰造就了我推的出圈40
[我推] 我推的劇情是從哪裡開始飄出屎味?35
[閒聊] PTCGP歐了一次34
[閒聊] 彼方的阿斯特拉太好看了吧(雷)48
[閒聊] 現在的你,收到PSP還會開心嗎?33
[閒聊] 明天X訓練AI的政策即將開始47
[Holo] 星街彗星Live新衣裝大家給幾分29
Re: [閒聊] 我想成為影之強者 動畫瘋破千萬觀看41
[閒聊] 亂馬1/2的看板娘是女亂馬還是珊璞☺67
[閒聊] 吉田直樹現在算甚麼等級的製作人28
Re: [問題] PTCG首抽疑問28
[蔚藍] 亞子跟無聲鈴鹿互換衣服26
[閒聊] 會因為劇情很爛真心怨恨作者嗎26
[24秋] 地錯 五期 07 暈船阿姨26
[Vtub] Cecilia的潛力是無限的26
[24秋] 在地下城尋求邂逅(略) 五期 07